Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (36)
  • добавить в избранное
    Добавить в закладки

Потерять $ 10 млн или купить антивирус?

Прочитали: 2425 Комментариев: 46 Рейтинг: 67

10 августа 2020

Само по себе недавнее заражение сервисов Garmin – не то что бы уникальный случай. В конце концов, не первый и не последний шифровальщик зашел в сеть (бывает) и распространился (а вот это для компании, поддерживающей сервис для пилотов самолетов, уже позорно) из-за недостатков в системе безопасности.

Согласно информации издания ZDNet, этот серьезный инцидент, буквально остановивший работу целой компании, произошел из-за проникновения внутрь закрытой сети Garmin вируса-вымогателя WastedLocker, который смог заразить большинство ПК сотрудников и часть серверов, отвечающих за передачу данных умных часов и другой спортивной электроники Garmin. Кроме того, сбой коснулся и сервиса для пилотов самолетов flyGarmin. Пилоты, использующие сервис, не могут обновить базы данных Garmin в своих навигационных устройствах, хотя по требованию Федерального управления гражданской авиации США это должно делаться регулярно. Вдобавок перестало работать приложение Garmin Pilot, которое используется при планирования полетов.

специалисты компании не смогли вовремя остановить распространение вируса. Поэтому серьезно пострадали не только основные сетевые сервисы, но и производственные отделы компании, включая некоторые линии по производству продукции в Азии.

Источник

Как утверждают неназванные источники в Garmin, злоумышленники потребовали от компании $10 млн.

Источник

Можно ли было этого избежать? Вполне возможно, что да – если бы сеть была разделена на подсети, доступ в которые из соседних подсетей был бы только по необходимости и у тех, кому положено.

Удивляет связность сети, где заражение пользовательских рабочих станций кладет все. Это наводит на мысль, что, возможно, заразился не юзерский пк, а вполне себе серавр где-то посредине, если вообще не станция администратора.

В свое время, я пережил очень похожую историю, когда атака шла со стороны пк админов. Это было в 2009м и дальше шлюзов проникнуть не смогли. Т.е. у нас полегло несколько филиалов, но ядро осталось целым.

Уже потом мы выяснили, что в одном из оконечных маршрутизаторов в ргионе (!) был хитрый бекдор… Это так, к слову.

можно даже без бекдоров, достаточно забить на установку апдейтов, как очень многие админы любят и всем советую в первую очередь отключать автообновление винды и т.п.

Я учавствовал в паре тестирований на проникновение, достаточно иметь пару неустановленных патчей в уязвимых местах, специализированный софт моментально выстраивает цепочку проникновения… помню в одом случае у тестеров хватило около 4х часов чтобы получить рута на сервере в ядре сети, только потому что последние апдейты на марштуризаторы ставились месяц назад, а на ОС — две недели назад…

Полностью вся цепочка была взломана эксплойтами месячной-недельной давности, причем в автоматическом режиме и с минимальными возбуханиями со стороны сервисов мониторинга (все выглядело как обычные действия админов, пока через созвоны выясняли что происходит, было уже поздно).

Источник

Почему администраторы сети «Гармин» не справились с атакой?

Им пришлось в экстренном порядке удаленно завершать работу всех ПК и ноутбуков компании по сети, включая домашние компьютеры сотрудников, подключенные через VPN. Однако, этот процесс затянулся. Поэтому они просто стали выключать все ПК и серверы в сети, к которым у них был доступ.

Источник

То есть у администраторов не было возможности централизованно управлять станциями своей сети (в том числе удаленными). Красавцы!

Что известно про злоумышленников?

Банда Evil Corp, также известная CrowdStrike как Indrik Spider, начинала как филиал ботнета ZeuS. Со временем они сформировали группу, которая сосредоточилась на распространении банковского трояна и загрузчика под названием Dridex через фишинговые электронные письма.

По мере развития своих атак группа создала вымогатель под названием BitPaymer, который был доставлен через вредоносное ПО Dridex в целевых атаках на корпоративные сети.

После предъявления обвинения членам Evil Corp, Игорю Олеговичу Турашеву и Максиму Викторовичу Якубцу, хакерская группа изменила тактику. Evil Corp начала распространение нового варианта вымогателя под названием WastedLocker для целевых атак на предприятия.

Чтобы доставить программу-вымогатель, Evil Corp взламывает сайты, чтобы вставить вредоносный код, который отображает поддельные предупреждения об обновлении программного обеспечения из фальшивой инфраструктуры обновлений SocGholish.

Пример поддельных предупреждений об обновлении программного обеспечения

#drweb

Одна из полезных нагрузок, отправляемых при этих атаках, набор инструментов для тестирования на проникновение и постэксплуатации Cobalt Strike, который Evil Corp использует для получения доступа к зараженному устройству.

Затем злоумышленники используют этот доступ для дальнейшей компрометации сети и развертывания программы-вымогателя WastedLocker.

При запуске программа-вымогатель WastedLocker выбирает случайный EXE или DLL-файл в папке C: \ Windows \ System32 и использует имя этого файла для создания нового файла без расширения в папке% AppData%.

#drweb

Исполняемый файл программы-вымогателя в % AppData%

Для этого файла будет создан альтернативный поток данных с именем bin, который затем будет выполнен.

#drweb

после запуска программа-вымогатель попытается зашифровать все диски компьютера, пропуская файлы в определенных папках или содержащие определенные расширения.

Для каждого зашифрованного файла WastedLocker также создаст сопроводительную записку с требованием выкупа, заканчивающуюся _info.

Источник

Подведем итог. В атакованной компании:

  1. Пользователи имеют право запускать самостоятельно исполняемые файлы, в том числе обновления установленного ПО.
  2. Отсутствуют белые списки разрешенного ПО – пользователи сами определяют, что им устанавливать на машины (набор инструментов для тестирования на проникновение и постэксплуатации Cobalt Strike – явно не то, что должно быть разрешено для широкой установки в компании).
  3. Разрешен запуск программ из альтернативных потоков данных (стримов, мы о них писали). Это вообще непонятно зачем разрешено – действие явно не для легальных программ.

К чему мы это разбираем? Разумеется, в связи с новостью о том, что виноваты «редиски»-антивирусы:

Шифровальщик, поставивший на колени Garmin, невидим для антивирусов.

Источник

Что еще пишут в новости?

Для оптимизации работы, операционная система кэширует часто используемые файлы, а также файлы, предназначенные для использования конкретными приложениями.

Когда какое-либо приложение запрашивает доступ к файлу, Windows проверяет, присутствует ли он в кэше, и если да, то загружает его оттуда. Это занимает куда меньше времени, чем считывание файла с диска.

WastedLocker использует эту особенность: открыв тот или иной файл, он записывает его содержимое в кэш, а затем закрывает. Изменению (шифрованию) подвергается именно то, что находится в кэше.

Ну а потом измененные файлы сбрасываются из кэша на диск уже зашифрованными.

О чем идет речь? На самом деле всего лишь об одном механизме защиты – поведенческом анализаторе, который должен отслеживать поведение запущенных процессов и блокировать их работу, если она напоминает работу шифровальщика. Но это – только один из механизмов антивируса, причем действующий после запуска некоего процесса. А ведь процесс сначала нужно запустить!

Действия шифровальщика могут быть блокированы:

  1. Отсутствием у пользователей прав администратора.
  2. Запретом установки ПО пользователями.
  3. Использованием только разрешенных приложений (сделать это можно с помощью Контроля приложений Dr.Web).
  4. Запретом запуска из стримов (также с помощью Контроля приложений Dr.Web).

Что еще нужно сказать о WastedLocker? Мы детектим эту угрозу c 24 июля как Trojan.Encoder.32185.

Trojan.Encoder.32185

Создает следующие сервисы

  • 'Winresume' \Winresume.exe -s

Создает следующие файлы на съемном носителе

  • <Имя диска съемного носителя>:\000814251_video_01.avi.garminwasted_info
  • <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc

Для затруднения выявления своего присутствия в системе удаляет теневые копии разделов.

Создает следующие файлы

  • %APPDATA%\winresume
  • %APPDATA%\winresume:bin
  • %WINDIR%\syswow64\winresume.exe
  • %WINDIR%\temp\lck.log

Источник

Если кому интересно, то winresume:bin – это как раз и есть вышеупомянутый файл, запускаемый из стрима, блокировка которого позволила бы заблокировать атаку.

#антивирус #вознаграждение #вымогательство #корпоративная_безопасность #шифровальщик

Антивирусная правДА! рекомендует

У них не было Dr.Web – и они лишились $ 10 млн. А ведь могли бы просто купить антивирус!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей